基本介紹
病毒標籤,行為分析,清除方案,
病毒標籤
病毒名稱: Worm.Win32.AutoRun.cyh
檔案 MD5: 6994C1D484036067449C8E776F0F4EF9
檔案長度: 加殼後17,039 位元組 脫殼後169,472位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++
加殼類型: WinUpack 0.37-0.39
行為分析
本地行為:
1、 檔案運行後會釋放以下檔案:
%DriveLetter%autorun.inf 78 位元組
%DriveLetter%auto.exe 17,039位元組
%System32%3C352CC8.EXE 17,039位元組
%System32%AFF1CD48.DLL 61,440 位元組
2、創建病毒服務,隨機啟動運行病毒檔案:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\83F6EA98]
註冊表值: "ImagePath"
類型: REG_SZ
字元串: “C:\WINDOWS\system32\3C352CC8.EXE -k”
描述:啟動病毒服務檔案的映像路徑
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\83F6EA98]
註冊表值: "Description "
類型: REG_SZ
字元串: “AFF1CD48”
描述:服務描述
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\83F6EA98]
註冊表值: "DisplayName"
類型: REG_SZ
字元串: “83F6EA98”
描述:服務名
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\83F6EA98]
註冊表值: "Start"
類型: DWORD
值: 2 (0x2)
描述:服務的啟動方式為自動
3、修改註冊表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue]
新建鍵值:DWORD: 0 (0)
原鍵值:DWORD: 1 (0x1)
描述:隱藏含有隱藏屬性的病毒檔案
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DoReport]
新建鍵值:DWORD: 0 (0)
原鍵值:DWORD: 1 (0x1)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\ShowUI]
新建鍵值:DWORD: 0 (0)
原鍵值:DWORD: 1 (0x1)
描述:禁止顯示錯誤報告
4、刪除報錯服務相關的註冊表鍵值
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc]
註冊表值: "Description "
類型: REG_SZ
字元串: “服務和應用程式在非標準環境下運行時允許錯誤報告”
描述:服務描述
[HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Services\ERSvc]
註冊表值: "DisplayName"
類型: REG_SZ
字元串: “Error Reporting Service”
描述:服務名稱
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc]
註冊表值: "ImagePath"
類型: REG_SZ
字元串: “%SystemRoot%\System32\svchost.exe -k netsvcs”
描述:啟動服務的映像路徑
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc]
註冊表值: "Start"
類型: DWORD
值: 2 (0x2)
描述:服務的啟動方式為自動
網路行為:
連線網路下載大量病毒檔案,並在本機運行:
http://222.73.26.* /e47e57844ef30ab4.exe
病毒名:Worm.Win32.AutoRun.cyq
http://222.73.247.***/mh.exe
病毒名:Trojan-PSW.Win32.OnLineGames.tde
http://222.73.247.***/qj.exe
病毒名:Trojan.Win32.Vaklik.nb
http://222.73.247.***/jr.exe
病毒名:Trojan-PSW.Win32.OnLineGames.ucd
http://222.73.247.***/huaxia.exe
病毒名:Trojan-PSW.Win32.OnLineGames.sol
http://222.73.247.***/qqsg.exe
病毒名:Trojan-PSW.Win32.OnLineGames.som.
http://222.73.247.***/tl.exe
病毒名:Trojan-PSW.Win32.OnLineGames.sbm
http://222.73.254.**/my.exe
病毒名:Trojan-PSW.Win32.OnLineGames.spx
http://222.73.254.**/fh.exe
病毒名:Trojan.Win32.Vaklik.ns
http://222.73.254.**/zyhx.exe
病毒名:Trojan-PSW.Win32.OnLineGames.suq
http://61.129.45.***/zt.exe
病毒名:Trojan-PSW.Win32.OnLineGames.udl
http://61.129.45.***/dh2.exe
病毒名:Trojan.Win32.Vaklik.mn
http://220.189.255.**/wow.exe
病毒名:Trojan-PSW.Win32.OnLineGames.scr
http://220.189.255.**/wl.exe
病毒名:Trojan-PSW.Win32.OnLineGames.ucj
http://220.189.255.**/wd.exe
病毒名:Trojan.Win32.KillAV.pg
http://220.189.255.**/jh.exe
病毒名:Trojan.Win32.Vaklik.nz
http://220.189.255.**/zy.exe
病毒名:Trojan-PSW.Win32.OnLineGames.sck
http://220.189.255.**/dh3.exe
病毒名:Trojan-PSW.Win32.OnLineGames.tow
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings \當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32 %
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1 、使用安天防線2008可徹底清除此病毒(推薦)。
2 、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL“進程管理”關閉病毒進程。
(2)刪除病毒檔案:
%DriveLetter%autorun.inf
%DriveLetter%auto.exe
%System32%3C352CC8.EXE
%System32%AFF1CD48.DLL
(3)刪除病毒服務註冊表項:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\83F6EA98]
(4)創建報錯服務註冊表相關鍵值,可以通過在其他一台正常機器也安裝與你同樣作業系統中導出報錯服務的註冊表項,拷貝至本機進行導入。
(5)恢復註冊表鍵:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\]
把CheckedValue值改為1,使用戶可以選擇“顯示所有檔案和資料夾”。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\]
把DoReport和ShowUI值都改為1,以顯示錯誤報告。
